Bárki beszélgetésébe belenézhetett bárki, súlyos hibát találtak a Meta rendszerében

Javított egy biztonsági hibát a Meta, melyet kiaknázva a Meta AI chatbot felhasználói hozzáférhettek más felhasználók promptjaihoz és a chatbot nekik küldött válaszaihoz – írja a TechCrunch.

A portálnak Sandeep Hodkasia, az AppSecure alkalmazásbiztonság-tesztelő vállalat alapítója számolt be a problémáról, melyet ő fedezett fel, és még 2024. december 26-án tájékoztatta róla a Metát. A techóriás 10 000 dollárral, azaz körülbelül 3,4 millió forinttal jutalmazta a felfedezést.

A hibát 2025. január 24-ln javította is a Meta, és Hodkasia szerint nincs is arra vonatkozó bizonyíték, hogy a rosszindulatú felek is felfedezték volna maguknak. Pedig elég komolynak tűnik a hiba: a szakember arra lett figyelmes, hogy amikor egy felhasználó szerkeszti a promptját – a chatbotnak küldött parancsát, ami az eszközzel egyébként lehetséges –, akkor a Meta szerverei egy egyedi számot rendelnek a parancshoz, és az MI válaszához is.

Hodkasia a böngészője hálózati forgalmát elemezve rájött: miközben szerkeszti az MI-parancsot, meg tudja változtatni ezt az egyedi számot, és így a Meta szerverei egy másik felhasználó MI-promptját és válaszát adják vissza. Röviden: pár mozdulattal el lehetett érni, hogy valaki más beszélgetése jelenjen meg a felhasználó előtt.

Ez azt jelenti, hogy a Meta szerverei nem ellenőrizték kellőképpen, hogy a felhasználó jogosult-e látni egy adott azonosítóhoz rendelt promptot. Ugyan a fenti módszer egy laikus számára bonyolultnak tűnhet, de a rosszindulatú felek számára ez ujjgyakorlat, és ha felfedezték volna, gyakorlatilag bármennyi beszélgetést el tudtak volna lopni.

Nem ez az első probléma a Meta AI-jal, korábban a felhasználók figyelmetlensége miatt is nyilvánosságra került sok beszélgetés – igaz, ehhez szükség volt a rendszer félreérthető működésére is.

Ha máskor is tudni szeretne hasonló dolgokról, lájkolja a HVG Tech rovatának Facebook-oldalát.